Compartir a través de

Autenticación de usuario final con Azure Data Lake Storage Gen1 mediante Microsoft Entra ID

Azure Data Lake Storage Gen1 usa Microsoft Entra ID para la autenticación. Antes de crear una aplicación que funcione con Data Lake Storage Gen1 o Azure Data Lake Analytics, debe decidir cómo autenticar la aplicación con Microsoft Entra ID. Las dos principales opciones disponibles son:

  • Autenticación de usuario final (este artículo)
  • Autenticación entre servicios (elija esta opción en la lista desplegable anterior)

Con ambas opciones, la aplicación recibe un token de OAuth 2.0 que se adjunta a cada solicitud realizada a Data Lake Storage Gen1 o Azure Data Lake Analytics.

En este artículo se explica cómo crear una aplicación nativa de Microsoft Entra para la autenticación del usuario final. Para obtener instrucciones sobre la configuración de aplicaciones de Microsoft Entra para la autenticación entre servicios, consulte Autenticación entre servicios con Data Lake Storage Gen1 mediante el identificador de Microsoft Entra.

Prerrequisitos

  • Una suscripción de Azure. Consulte Obtención de una evaluación gratuita de Azure.

  • El identificador de suscripción. Puede recuperarlo en Azure Portal. Por ejemplo, está disponible en la hoja de cuenta de Data Lake Storage Gen1.

    Obtención del identificador de suscripción

  • Nombre de dominio de Microsoft Entra. Para recuperarlo, mantenga el puntero del mouse en la esquina superior derecha de Azure Portal. En la captura de pantalla siguiente, el nombre de dominio se muestra como contoso.onmicrosoft.com, y el GUID entre corchetes es el identificador de tenant.

    Obtención del dominio de Microsoft Entra

  • Su Id. de inquilino de Azure. Para obtener instrucciones sobre cómo recuperar el identificador de inquilino, consulte Obtención del identificador de inquilino.

Autenticación de usuario final

Este mecanismo de autenticación es el enfoque recomendado si desea que un usuario final inicie sesión en la aplicación a través de Microsoft Entra ID. La aplicación puede acceder a los recursos de Azure con el mismo nivel de acceso que el usuario final que ha iniciado sesión. El usuario final tiene que proporcionar sus credenciales periódicamente para que la aplicación conserve el acceso.

El resultado de tener el inicio de sesión del usuario final es que la aplicación recibe un token de acceso y un token de actualización. El token de acceso se adjunta a cada solicitud realizada a Data Lake Storage Gen1 o Data Lake Analytics, y es válida durante una hora de forma predeterminada. El token de actualización se puede usar para obtener un nuevo token de acceso y es válido durante hasta dos semanas de forma predeterminada. Puede usar dos enfoques diferentes para el inicio de sesión del usuario final.

Uso de la ventana emergente de OAuth 2.0

La aplicación puede desencadenar una ventana emergente de autorización de OAuth 2.0 en la que el usuario final puede escribir sus credenciales. Este elemento emergente también funciona con el proceso de autenticación de dos fases (2FA) de Microsoft Entra, si es necesario.

Nota:

Este método todavía no es compatible con la Biblioteca de autenticación de Active Directory (ADAL) para Python o Java.

Transmisión directa de credenciales de usuario

La aplicación puede proporcionar directamente credenciales de usuario a Microsoft Entra ID. Este método solo funciona con cuentas de usuario de identificador de organización; no es compatible con las cuentas de usuario personales o “live ID”, incluidas las cuentas que terminan en @outlook.com o @live.com. Además, este método no es compatible con las cuentas de usuario que requieren la Autenticación de dos fases (2FA) de Microsoft Entra..

¿Qué se necesita para este enfoque?

  • Nombre de dominio de Microsoft Entra. Este requisito ya aparece en los requisitos previos de este artículo.
  • Identificador de inquilino de Microsoft Entra. Este requisito ya aparece en los requisitos previos de este artículo.
  • ID de Microsoft Entra aplicación nativa
  • Identificador de aplicación para la aplicación nativa de Microsoft Entra
  • URI de redirección para la aplicación nativa de Microsoft Entra
  • Establecimiento de permisos delegados

Paso 1: Crear una aplicación nativa de Active Directory

Cree y configure una aplicación nativa de Microsoft Entra para la autenticación de usuario final con Data Lake Storage Gen1 mediante Microsoft Entra ID. Para obtener instrucciones, consulte Creación de una aplicación de Microsoft Entra.

Al seguir las instrucciones del vínculo, asegúrese de seleccionar Nativo para el tipo de aplicación, como se muestra en la captura de pantalla siguiente:

Creación de una aplicación web Crear aplicación

Paso 2: Obtener el identificador de aplicación y el URI de redirección

Consulte Obtención del identificador de aplicación para recuperar el identificador de aplicación.

Para recuperar el URI de redireccionamiento, siga estos pasos.

  1. Desde el portal de Azure, seleccione Microsoft Entra ID, seleccione Registros de aplicaciones, y luego busque y seleccione la aplicación nativa de Microsoft Entra que creó.

  2. En la hoja Configuración de la aplicación, seleccione URI de redirección.

    Obtención del URI de redirección

  3. Copie el valor mostrado.

Paso 3: Establecer permisos

  1. Desde el portal de Azure, seleccione Microsoft Entra ID, seleccione Registros de aplicaciones y luego busque y seleccione la aplicación nativa de Microsoft Entra que usted creó.

  2. En la hoja Configuración de la aplicación, seleccione Permisos necesarios y, a continuación, seleccione Agregar.

    Captura de pantalla de la hoja Configuración con la opción Redirigir URI resaltada y la hoja Redirigir URI con la URI real resaltada.

  3. En la hoja Agregar acceso a API , seleccione Seleccionar una API, Azure Data Lake y, a continuación, seleccione Seleccionar.

    Captura de pantalla de la hoja para agregar acceso a la API, donde se resalta la opción Seleccionar una API, y de la hoja para seleccionar una API, donde se resaltan las opciones Azure Data Lake y Seleccionar.

  4. En la hoja Agregar acceso a API , seleccione Seleccionar permisos, active la casilla para conceder acceso completo a Data Lake Store y, a continuación, seleccione Seleccionar.

    Captura de pantalla de la hoja Agregar acceso a API con la opción Seleccionar permisos resaltada y la hoja Habilitar acceso con la opción Tener acceso completo al servicio Azure Data Lake y la opción Seleccionar resaltada.

    Seleccione Listo.

  5. Repita los dos últimos pasos para conceder permisos también a la API de Administración de servicios de Windows Azure .

Pasos siguientes

En este artículo, ha creado una aplicación nativa de Microsoft Entra y ha recopilado la información que necesita en las aplicaciones cliente que crea mediante el SDK de .NET, el SDK de Java, la API de REST, etc. Ahora puede continuar con los artículos siguientes que hablan sobre cómo usar la aplicación web Microsoft Entra para autenticarse primero con Data Lake Storage Gen1 y, a continuación, realizar otras operaciones en la tienda.

  • Last updated on